Date
23.03.2026
Au cours du premier trimestre 2026, DPI s’est penché sur les principales évolutions, la jurisprudence et les nouveaux outils incontournables pour tout Data Protection Officer. Vous souhaitez savoir ce qui figurait à l’ordre du jour ? Voici les principaux enseignements d’une session particulièrement riche.
Au total, pas moins de 28 décisions ont été examinées ce trimestre. Chaque trimestre, le conseil consultatif de DPI travaille à partir de long lists et de short lists de décisions. Préparer une session Stay Tuned, c’est toujours un peu faire ses adieux aux décisions qui ne sont finalement pas retenues. Notre principal critère de sélection ? Leur pertinence pour le DPO. Quoi qu’il en soit, sélectionner l’ensemble des décisions reste un exercice particulièrement exigeant. La session francophone a été animée par Romain Robert, Head of Digital Regulation chez EDPS, qui a guidé les participants à travers les principales évolutions en matière de protection des données au cours du premier trimestre 2026.
Les thèmes
La session a offert une vue d’ensemble des décisions de l’Autorité belge de protection des données et de la Cour des marchés, tout en s’ouvrant également à l’international avec des arrêts de la Cour de justice de l’Union européenne (CJUE) et des décisions rendues notamment en France, en Espagne et en Norvège. Cela a permis aux DPO présents d’obtenir une vision claire des priorités actuelles en matière de contrôle et d’application dans toute l’Europe.
Les thèmes suivants ont constitué le fil rouge de cette édition Stay Tuned du premier trimestre 2026 :
La position du DPO
Votre indépendance en tant que DPO est essentielle. Nous avons abordé les limites de la protection contre le licenciement ainsi que la nécessité absolue de garantir la confidentialité lorsque des collaborateurs contactent le DPO. Les courriers adressés au DPO peuvent-ils, par exemple, être ouverts librement ? Il a également été rappelé que le DPO doit être un partenaire stratégique au plus haut niveau de direction.
RH et vie privée dans la pratique
Les questions RH restent un véritable champ de mines. Nous avons examiné les règles applicables à la vérification des références dans le cadre du recrutement, ainsi que le droit d’accès des travailleurs à leurs propres notes d’évaluation. La gestion des adresses e-mail après le départ d’un collaborateur a également été abordée. Une leçon importante en ressort : une solution technique de contournement, comme la redirection des e-mails vers un black hole ou /dev/null, ne dispense pas une organisation de son obligation de supprimer effectivement les données.
Le consentement n’est pas un chèque en blanc
En matière de marketing, il est apparu une nouvelle fois que la limitation des finalités est essentielle. Obtenir le consentement de membres pour les tenir informés par e-mail de l’actualité sportive ne signifie pas que ces mêmes adresses peuvent ensuite être utilisées pour promouvoir des événements en boîte de nuit. La transparence exige des consentements spécifiques et distincts pour chaque finalité.
La sécurité ne se limite pas à l’IT
La protection des données va au-delà du seul risque de piratage. Nous avons ainsi vu que la perte de contrats papier physiques dans une archive constitue également une violation de l’obligation de sécurité. En outre, des cas issus du secteur des soins de santé ont montré que les organisations doivent contrôler leurs logs de manière proactive afin de prévenir les accès non autorisés aux dossiers de patients.
Une boîte à outils DPO bien remplie
Une session Stay Tuned n’est vraiment réussie que si le DPO retourne à son bureau avec des outils concrets. Les participants ont ainsi reçu un large éventail de ressources pratiques :
- AIPD et analyses de risques : Les DPO ont eu accès à la grille d’évaluation néerlandaise permettant de mesurer la qualité des AIPD. Une AIPD générique pour la transcription par IA a également été partagée, ainsi qu’une checklist Privacy by Design pour les organisations qui souhaitent utiliser des outils d’IA de conversion de la parole en texte.
- Questionnaire LIA : Pour documenter correctement l’« intérêt légitime », un questionnaire détaillé et pratique du régulateur de Hambourg a été mis à disposition.
- Cheat sheet sur la responsabilité conjointe du traitement : Un aperçu pratique pour les situations dans lesquelles des données sont traitées conjointement avec des partenaires.
- Stratégie de sortie du cloud : Une checklist destinée à gérer les risques juridiques et techniques lors d’une migration vers ou depuis le cloud.
- Outil Dark Patterns : Un outil développé par le laboratoire d’innovation de la CNIL française pour aider à identifier les interfaces trompeuses.
Et l’Omnibus
Au cours de la session Stay Tuned, nous avons également abordé l’avis conjoint (2/2026) du Comité européen de la protection des données et du Contrôleur européen de la protection des données sur la proposition législative relative à l’Omnibus numérique. Parmi les aspects positifs, nous avons relevé le soutien à certaines simplifications pratiques, comme l’allongement du délai de notification des violations de données à 96 heures, uniquement en cas de risque élevé, ainsi que l’introduction de signaux automatisés visant à lutter contre la « fatigue des cookies ».
Mais cet Omnibus numérique fait également apparaître plusieurs signaux d’alerte. Les autorités de contrôle mettent fermement en garde contre certaines dispositions qui risquent d’affaiblir le RGPD. Elles s’opposent notamment à une limitation de la définition des données à caractère personnel fondée sur une jurisprudence sélective, au pouvoir accordé à la Commission européenne de déterminer à quel moment des données pseudonymisées perdent ce statut, ainsi qu’à toute atteinte à l’indépendance du Comité européen de la protection des données.
Date
23.03.2026
